Sua posição: Página inicial / Relatar problemas de segurança

Relatar problemas de segurança

Relatar problemas de segurança
Se você encontrou uma vulnerabilidade de segurança no Ciencia, nós encorajamos você a nos enviar uma mensagem imediatamente. Analisaremos todos os relatórios de vulnerabilidade legítimos e faremos o máximo para resolver o problema rapidamente. Antes de relatar, consulte este documento, incluindo o princípio básico, o programa de recompensas, as diretrizes de recompensa e o que não deve ser relatado.

Princípio Básico
Se você seguir os princípios abaixo ao relatar um problema de segurança à Ciencia, não iniciaremos uma ação judicial ou uma investigação da lei contra você em resposta ao seu relatório. Pedimos que:
1. Você nos dê um tempo razoável para revisar e reparar um problema que você denuncia antes de divulgar qualquer informação sobre o relatório ou compartilhar essas informações com outras pessoas.
2.Você não interage com uma conta individual (que inclui modificar ou acessar dados da conta) se o proprietário da conta não tiver consentido com tais ações.
3. Você se esforça de boa fé para evitar violações de privacidade e interrupções a outras pessoas, incluindo (mas não limitado a) destruição de dados e interrupção ou degradação de nossos serviços.
4.Você não explora um problema de segurança que você descobre por qualquer motivo. (Isso inclui a demonstração de riscos adicionais, como tentativa de comprometimento de dados confidenciais da empresa ou sondagem de problemas adicionais.)
5. Você não viola nenhuma outra lei ou regulamentação aplicável.

Programa de Recompensas
Reconhecemos e recompensamos os pesquisadores de segurança que nos ajudam a manter as pessoas seguras, relatando vulnerabilidades em nossos serviços. Recompensas monetárias para tais relatórios são inteiramente a critério da Ciencia, com base no risco, impacto e outros fatores. Para se qualificar potencialmente para uma recompensa, primeiro você precisa atender aos seguintes requisitos:
1.Adver ao nosso Princípio Básico (veja acima).
2. Relate um bug de segurança: isto é, identifique uma vulnerabilidade em nossos serviços ou infraestrutura que crie um risco de segurança ou privacidade. (Observe que a Ciencia, em última análise, determina o risco de um problema, e que muitos erros não são problemas de segurança.)
3. Envie o seu relatório através do nosso " ciencia62@gmail.com"e-mail e responda ao relatório com quaisquer atualizações. Por favor, não contate funcionários diretamente ou através de outros canais sobre um relatório. Se você tiver dúvidas ou problemas com o seu pedido, entre em contato com o nosso Centro de Suporte para obter ajuda em" ciencia62@gmail.com ". 4. Se você inadvertidamente causar uma violação de privacidade ou interrupção (como acessar dados de conta, configurações de serviço, ou outras informações confidenciais), enquanto investigando um problema, não se esqueça de divulgar isso em seu relatório. 5.We investigar e responder a todos os relatórios válido. Devido ao volume de relatórios que recebemos, porém, priorizamos as avaliações com base no risco e outros fatores, e isso pode levar algum tempo antes de receber uma resposta. reserva 6.We o direito de publicar relatórios.

Recompensas
Nossas recompensas são baseadas no impacto de uma vulnerabilidade. Vamos atualizar o programa ao longo do tempo com base no feedback, por isso, dê-nos comentários sobre qualquer parte do programa que você acha que podemos melhorar.
1.Por favor, forneça relatórios detalhados com etapas reproduzíveis. Se o relatório não for detalhado o suficiente para reproduzir o problema, o problema não será qualificado para recompensa.
2.Quando ocorrem duplicatas, atribuímos o primeiro relatório que podemos reproduzir completamente.
3.Multiplas vulnerabilidades causadas por um problema subjacente receberão uma recompensa.
4. Determinamos a recompensa de recompensa com base em vários fatores, incluindo (mas não limitado a) impacto, facilidade de exploração e qualidade do relatório. Observamos especificamente as recompensas de recompensa, que estão listadas abaixo.
5.As montagens abaixo são o máximo nós vamos pagar por nível. Nosso objetivo é ser justo, todos os valores de recompensa estão a nosso critério.
Vulnerabilidades de severidade crítica (US $ 1.000): Vulnerabilidades que causam uma escalada de privilégios na plataforma desde administradores sem privilégios a execuções remotas de código, roubo financeiro etc. Exemplos:
· Execução remota de código
· Execução remota de shell / comando
· Bypass de autenticação vertical
· SQL Injection que vaza dados direcionados
· Obtenha acesso total a contas
Vulnerabilidades com severidade alta (US $ 500): Vulnerabilidades que afetam a segurança da plataforma, incluindo os processos que ela suporta. Exemplos:
· Bypass de autenticação lateral
· Divulgação de informações importantes dentro da empresa
· XSS armazenado para outro usuário
· Inclusão de arquivos locais
· Manipulação insegura de cookies de autenticação
Vulnerabilidades de gravidade média (US $ 300): Vulnerabilidades que afetam vários usuários e exigem pouca ou nenhuma interação do usuário para serem acionadas. Exemplos:
· Falhas de design lógico comuns e defeitos de processos de negócios
· Referências diretas de objetos
inseguras Vulnerabilidades de severidade baixa (US $ 50): problemas que afetam usuários únicos e exigem interação ou pré-requisitos significativos (MITM) para acionar. Exemplos:
· Redirecionamento aberto
· XSS reflexivo
· Baixa sensibilidade Vazamentos de informações